Admn Rechte auf Domaincatroller

[cbbob 10]

Hi!

 

Ich verwalte in meiner Firma eine reine W2k3 Domäne. Jeder Standort hat einen Domaincontroller und meist sind die Standorte so klein, dass dieser Domaincontroller der einzige Server dort ist und gleichzeitig mehrere Aufgaben übernimmt (Fileserving/Printserving usw.).

 

Jetzt stehe ich vor dem Problem, dass ich an diesen Standort technisches Personal habe, die in der lage sein sollen sich an diesem Domaincontroller anzumelden, um z.B. Anwendungen zu installieren o.ä.. Allerdings will ich sie natürlich auf keinen Fall zu Domain-Admins oder Kontenoperatoren machen, weil sie auf mein AD keinen grösseren Zugriff als alle standard User haben sollen.

 

Hat einer von Euch ne Idee, wie das hinkriege?

[grizzly999 11]

Die Gruppe der Server-Operatoren darf sich auch an DCs anmelden und einige Aufgaben auf dem Server durchführen.

 

 

grizzly999

[Tobi 10]

Daher der Name Server-Operatoren!? *g*

[cbbob 10]

OK das habe ich versucht, aber leider kann ich mich trotzdem nicht anmelden, weil ich eine Fehlermeldung bekomme "Die lokale Sicherheitsrichlinie erlaubt es Ihnen sich interaktiv anzumelden". Ich habe schonmal in der Defaul Domain Controllers Policy nachgesehen, da sind aber die Server-Operatoren bei (Lokal anmelden zulassen) aufgelistet. Woran kann das hängen??

 

Ich habe auch schonmal die Replikation zwischen den Standorten angestoßen, aber da hat sich auch nichts getan.

 

Mache ich da noch irgendeinen DAU-Fehler??

[grizzly999 11]

Sehr seltsam.

Ich rekapituliere: der Benutzer ist direkt auf dem DC selber in der Gruppe der Server-Operatoren? Und er will sich jetzt genau an diesem DC anmelden und bekommt den Fehler?

 

grizzly999

[cbbob 10]

ja Genau,

 

ich verstehe das auch nicht so ganz das Problem hatte ich noch nie.

 

Ich habe den User direkt in die Gruppe Server-Operatoren aufgenommen und habe versucht mich anschließend an genau diesem DC (der alle Betriebsmaster hat) anzumelden und bekomme dann diese Fehlermeldung.

[grizzly999 11]

Neben dem Benutzerrecht sich loakle anzumelden, gibt es acu eines, das die Anmeldung explizit verweigert. Da steht aber nichts drin?

Gibt es eine Richtline auf Domänenebene, die hier nichts zulässt und auf Kein Vorrang steht?

 

grizzly999

[cbbob 10]

Nein leider nicht.

 

Die ganze Domain ist recht frisch installiert, auf Domänenebene gibt es bis jetzt keine andere Policy neben der Default Domain Policy.

Und auch für die DCs gibt es z.Z. keine andern GPOs als die Default.

[grizzly999 11]

Dann behaupte ich jetzt einfach mal, ist der Benutzer nicht in der Gruppe drin, bzw. es ist ein anderer Benutzer, mit dem man die Anmeldung versucht.

 

grizzly999

[cbbob 10]

OK ich konnte das Problem eingrenzen.

 

Ich habe die Anmeldung die ganze Zeit per RDP versucht, hatte den Benutzer natürlich auch vorher in die Remotedesktopbenutzer Gruppe eingefügt.

 

Eben war ich direkt am Server und da ging es dann. Jetzt hänge ich nur noch beim Login per RDP.

 

Muss der User dafür noch in einer anderen Gruppe Mitglied sein?

[grizzly999 11]

Mann o Mann, warum schreibst du das nicht gleich? Ich frage nach lokaler Anmeldung und du sagst"Ja habe ich"

 

Ist die Richtlinie für Terminaldienste erlaubt?

 

 

grizzly999

[cbbob 10]

Hab's gelöst:

 

Das Problem war, dass zwar i.d Default Domain Controller Policy zwar eingerichtet war, dass sich die ServerOperatoren lokal anmelden können, aber für den User, der Mitglied in der Gruppe ServerOperatoren ist, die DefaultDomain Policy gilt. Dort mußte ich unter

"Computerkonfiguration\Windows-Einstellungen\Sicherheitseinstellungen\Lokale Richtlinien\Zuweisen von Benutzerrechten\Anmelden über Terminaldienste zulassen" Sie Server-Operatoren eintragen.

 

Danke für Eure Unterstüzung!

[cbbob 10]

:-) Ja sorry, das habe ich nicht bedacht